2. Védtelen böngészők,
avagy hogyan ne védd Ziont
Jogi nyilatkozat:
Minden nézet és gondolat amit ma megosztok, a sajátom.
A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi
vagy jövőbeni munkáltatóm véleményével.
Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
3. Balázs Zoltán
Deloitte
Senior IT biztonsági tanácsadó
OSCP, C|HFI, CISSP, CPTS, MCP
gula.sh – CyberLympics@2012, 3. hely
zbalazs@deloittece.com
Bemutatkozás
7. Védtelen böngészők
• Zombi tűzróka – mi történt?
• Mi a megoldás?
– Általános védelem
– Internet security suites
– Online banking – kliensoldali védelem
– Lastpass + yubikey hack
8. Hol hagytuk abba?
2012. május 11. Ethical Hacking, Zombi tűzróka
2012. május 11. ESET (Sicontact)
2012. május 16. Trojan Neloweg – Symantec
2012. június – szeptember Chrome, Safari
kiegészitő, Rails C&C szerver
2012. július Chrome külső oldalakról származó
kiegészítők tiltása
9.
10.
11.
12.
13. Zombi Firefox - virustotal
Ebből öt olyan gyártó, amelyiknek nem
küldtem el
15. Advanced AV 133t 3v4s10n 2012
Tanulságok:
– Ne küldj rejtjeles zipet
– Ne küldj olyan ZIP-állományt, amiben több
mint tíz állomány van (Firefox kiegészítő ==
ZIP-ben fájlok)
20. Google, Mozilla
Google – extension store javítandó
Mozilla centralizálás fejlesztések
Más a fókusz:
– Firefox: powerful kiegészítők (pl. NoScript)
– Chrome: biztonság
28. NoScript
„Allows executable web content such as JavaScript, Java,
Flash, Silverlight, and other plugins ... NoScript also offers
specific countermeasures against security exploits.”
futó malware ellen, másik kiegészítő ellen
nem véd
29. Browserprotect
„To protect your browser against malware
hijacking your browser settings like home
page, search providers and address bar
search.”
30. „Runs your programs in an isolated space which prevents them from making
permanent changes to other programs and data in your computer.”
Véd: fájlok írása diszkre (csak sandboxba lehet)
31. „Runs your programs in an isolated space which prevents them from making
permanent changes to other programs and data in your computer.”
Véd: fájlok írása diszkre (csak sandboxba lehet)
Nem véd:
– Jelszólopás
– Sütilopás
– Webkamera-kémkedés
– Fájlolvasás
34. Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox
kiegészítőmet
Über 133t signature 3v4s10n 2k13
Plusz 1 szóköz
Firefox kiegészítők
Mindig 2 Firefox verzióval lemaradva
35. Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox
kiegészítőmet
Über 133t signature 3v4s10n 2k13
Plusz 1 szóköz
Firefox kiegészítők
Mindig 2 Firefox verzióval lemaradva
36. Gyártó Nr. 1
Szignatúraalapon „kiirtja” a Firefox
kiegészítőmet
Über 133t signature 3v4s10n 2k13
Plusz 1 szóköz
Firefox kiegészítők
Mindig 2 Firefox verzióval lemaradva
37. Gyártó Nr. 2
„Safe browser” megoldás
– Új, „tiszta” Firefox profil létrehozása
Regisztrációs adatbázisba regisztrált
kiegészítők (HKCU)
„Safe browser” SQLite buherálás
A kapcsolatot felvettem, még nincs javítva
38. Gyártó Nr. 2
„Safe browser” megoldás
– Új, „tiszta” Firefox profil létrehozása
Regisztrációs adatbázisba regisztrált
kiegészítők (HKCU)
„Safe browser” SQLite buherálás
A kapcsolatot felvettem, még nincs javítva
40. Gyártó Nr. 3
Felhasználói kérdés:
„Does XYZ detect/block Xenotix KeylogX?
A gyártó válasza:
„No it doesn't, and that's by design. Browser add-ons are subject to
the same sandboxing that the browser itself runs through and
therefore can be managed by the user directly. ...
If you're suspicious of any add-ons, you should definitely just
remove them, or, open your browser in safemode which avoids
loading any add-ons.”
41. Gyártó Nr. 3
Felhasználói kérdés:
„Does XYZ detect/block Xenotix KeylogX?
A gyártó válasza:
„No it doesn't, and that's by design. Browser add-ons are subject to
the same sandboxing that the browser itself runs through and
therefore can be managed by the user directly. ...
If you're suspicious of any add-ons, you should definitely just
remove them, or, open your browser in safemode which avoids
loading any add-ons.”
44. Ne bízz a helyi tanúsítványkiszolgálóban!
Védd a proxybeállításokat, a böngésző fájljait, beállításait!
Ne használj régi, elavult böngészőt!
Minden(!) kiegészítő letiltása
Ne használj kiegészítőt arra, hogy
másik kiegészítő ellen védekezz!
AV telepítése és frissítése!
46. „Endpoint Financial Fraud Prevention”
and „Anti-Keylogging Applications”
Hogy mi???
– Amit a (külföldi) bankok ajánlanak, hogy
töltsd le és akkor biztonságban leszel
– API hooking elleni védelmet ígérnek
Gyártó 1
Gyártó 2
Gyártó 3
A konklúzió ... ;-)
48. Gyártó Nr. 2
Protects end-user endpoints against
financial malware and phishing attacks.
By preventing attacks such as
Man-in-the-Browser and Man-in-the-Middle, it
secures credentials and personal information
and stops financial fraud and account
takeover.
And, it keeps endpoints malware-free by
blocking malware installation and removing
existing infections.
49. Gyártó Nr. 2
Internet Explorerben a kiegészítők letiltva
Firefoxban nem
Küldtek egy új verziót
Minden böngészőkiegészítő le van tiltva ...
Nem publikus verzió
A terv:
Majd ők detektálják, ha ilyen
támadás van, és akkor azt
az egy kiegészítőt letiltják ...
50. Gyártó Nr. 2
Internet Explorerben a kiegészítők letiltva
Firefoxban nem
Küldtek egy új verziót
Minden böngészőkiegészítő le van tiltva ...
Nem publikus verzió
A terv:
Majd ők detektálják, ha ilyen
támadás van, és akkor azt
az egy kiegészítőt letiltják ...
51. Gyártó Nr. 3
2013. január: Firefox 13.01 (2012. június)
Regisztrációs adatbázis hack (HKCU)
Felvettem a kapcsolatot, javították
SSL MITM sem működik, saját proxy
beállításait is védi
53. Gyártó Nr. 4
Protects You From:
Information stealing malware and spyware
0-hour malware and targeted attacks
Sophisticated financial malware like ZeuS and
SpyEye
Key loggers, screen grabbers, microphone
and webcam hijackers, SSL banker Trojans,
spying rootkits and many more
54. Protects You From:
Information stealing malware and spyware
0-hour malware and targeted attacks
Sophisticated financial malware like ZeuS and
SpyEye
Key loggers, screen grabbers, microphone
and webcam hijackers, SSL banker Trojans,
spying rootkits and many more
Gyártó Nr. 4
60. LastPass + Yubico hack
Sütilopás
Nem elég
Rejtjelezési kulcsok lokálisan
POST-adatok olvasása
Nem elég
Csak jelszó hash + Yubico OTP
Lastpass kiegészítő „módosítása” (backdoor)
Elég ;-)
62. Sütilopás
Nem elég
Rejtjelezési kulcsok lokálisan
POST-adatok olvasása
Nem elég
Csak jelszó hash + Yubico OTP
Lastpass kiegészítő „módosítása” (backdoor)
Elég ;-)
LastPass + Yubico hack
63. Tanulság: rossz erdőben kerestem az elixírt
A csak kliensoldali védelmek bukásra vannak ítélve
https://github.com/Z6543
zbalazs@deloittece.com
https://hu.linkedin.com/in/zbalazs
A mai napon a böngésző-kiegészitőkről, és a különböző védelmi csomagokról fogok mesélni nektek
Engem Balázs Zoltánnak hivnak
Amit tudni kell rólam, hogy imádok hackelni
Imádom a hacker filmeket
És imádom a mémeket.
Az előadás első felében elmesélem, hogy mi minden történt a tavalyi ethical hacking konferencia óta, majd megmutatom, milyen kliens oldali védelmeket vizsgáltam meg, és ott milyen tapasztalatokat szereztem. Az előadás végén pedig egy újabb kétfaktoros authentikáció hackelést mutatok nektek.
Tavaly májusban volt az ethical hacking konferencia, ahol bemutattam, hogy a Firefox böngésző kiegészitők mennyire veszélyesek lehetnek, pl. Ellophatják a felhasználó jelszavát, módosithatja a honlapok tartalmát, banki tranzakciót, stb. Még aznap felvette az Eset a kapcsolatot velem, hogy szeretnék tanulmányozni a kódot5 nappal a konferencia után a Symantec kiadott egy tanulmányt, ahol egy olyan banki trójait mutattak be, ami a firefox böngészőt módositotta, hasonlóan a böngésző kiegészitőkhözA nyár folyamán megirtam a Chrome, Safari kiegészitőmet is, illetve a szerver oldalt áthelyeztem ruby on rails alapokra. Szintén a nyáron a Chrome letiltotta a külső oldalakról származó kiegészitőket, ami egy jelentős előrelépés, de ettől függetlenül egy rosszindulatú kód bármikor telepitheti a saját kiegészitőjét a Chrome-ba
Majd a média felkapta a témát, itt pl. egy orosz hacker oldalon jelent meg egy cikk a böngésző kiegészitőmről
Itt pedig ékes perzsa nyelven lehet olvasni egy iráni hirportálon a zombi böngészőkről
És végül, de nem utolsósorban az amerikai belbiztonsági hivatal hirlevelébe is bekerültem
A kiegészitőmet elküldtem 14 neves antivirus gyártónak, hogy tegye bele a szignatúra adatbázisába
Ugyhogy jelenleg X antivirus detektálja a firefox kiegészitőmet
És y a chrome kiegészitőmet
Ezzel kapcsolatban két tanulságot vonnék le.Egyrészt ne küldjön az ember jelszóval védett zip fájlt, mert lehet hogy azt nem képesek feldolgozni (hiába van ott a jelszó a levélben)Illetve ha olyan tömöritett állományt küld be az ember, amiben 10-nél több file van, akkor azt nem biztos hogy képesek feldolgozni. A probléma, hogy a böngésző kiegészitők zip fájlok, benne akármennyi fájllal. Tehát ha olyan kiegészitőt készitünk, amiben mondjuk 100 file van, akkor a felhasználók nem tudják beküldeni az antivirus gyártóknak a mintát
Majd miután publikáltam a kiegészitőket az interneten, 25 perccel rá a Mozilla blokkolta.
Két különbség van a képek között. Az egyik, hogy a böngésző kiegészitőnek más az id-ja, a másik különbség, hogy az elsőt blokkolja a mozilla, a másodikat nem.
A chrome hivatalos extension store-jában azért napról napra felbukkanak rosszindulatú kiegészitők.
És a felhasználói naivitás végtelen
A google is, és a mozilla is felvette a kapcsolatot velem. Véleményem szerint a google-nek még a hivatalos store-t kellene javitania, hogy a rosszindulatú kiegészitőket hamarabb detektálja.A mozilla pedig egy olyan fejlesztésnek kezdett neki, hogy tudomást szerezzen központilag a böngésző kiegészitőkről.Igazából én azt látom, hogy a két böngészőnek teljesen más a fókusza, és szerintem ez jó, mert a felhasználók választhatnak, hogy mit szeretnének inkább, jobb kiegészitőket, vagy nagyobb biztonságot.
Most januárban a 2007 óta tevékenykedő Mebroot trójai pl. már chrome kiegészitővel felvértezve fertőzi meg a felhasználókat, és igy manipulálja a felhasználók online banki munkamenetét.
Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
Úgyhogy úgy döntöttem, egy szál számitógéppel a vállamon felkerekedek, és megkeresem az internet erdő mélyében az elixirt a rosszindulatú böngésző kiegészitők ellen
Az utam során két axiómába botlottam. Először is, ha egy rosszindulatú kód fut a gépünkön, akkor annak annyi. A második axióma pedig, hogy ha egy rendszer véd 300 különböző támadási módszer ellen, akkor a 301.-ik ellen nem véd.
Első körben megnéztem, hogy a különböző kiegészitők és sandboxing technológiák hogyan védenek a kiegészitőm ellen, ugy mint jelszó lopás, webkamera kémkedés, stb ellen.
A noscript amit igér, azt jól csinálja, de egy futó malware ellen, vagy másik kiegészitő ellen nem véd. Arról nem is beszélve, hogy a firefox kiegészitők beállitásai olyan mint a családi piknik, bárki bármit kedvére megtehet. Tehát az én kiegészitőm tudja módositani a noscript whitelist oldalakat.
A browserprotect kiegészitő szintén zenész, amit igér, azt jól csinálja, de egyébként nem véd a böngésző kiegészitőm ellen, és szabadon konfigurálhatom a beállitásait.
A sandboxie program számomra nagy meglepetés (vagy inkább ugymondom csalódás volt). Igazából felhasználók védelmére egyáltalán nem javasolnám, mivel alapértelmezett esetben semmi mást nem tesz, csak megakadályozza a sandboxon kivüli módositásokat. Tehát a bizalmas felhasználói fájlokat el lehet lopni, illetve gyakorlatilag minden funkcióm működik.
A sandboxie program számomra nagy meglepetés (vagy inkább ugymondom csalódás volt). Igazából felhasználók védelmére egyáltalán nem javasolnám, mivel alapértelmezett esetben semmi mást nem tesz, csak megakadályozza a sandboxon kivüli módositásokat. Tehát a bizalmas felhasználói fájlokat el lehet lopni, illetve gyakorlatilag minden funkcióm működik.
Most pedig áttérünk a következő védelmi szintre, az internet biztonsági csomagok szintjére.Neveket inkább nem emlitenék, de majd láthatjátok, a konklúzió úgyis ugyanaz lesz.
Most pedig áttérünk a következő védelmi szintre, az internet biztonsági csomagok szintjére.Neveket inkább nem emlitenék, de majd láthatjátok, a konklúzió úgyis ugyanaz lesz.
Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
Az első gyártó szignatúra alapon kiirtja a kiegészitőmetDe ha plusz egy szóközt teszek a megfelelő sorba, akkor már vigan fut. Illetve saját kiegészitőket is hoz magával, amik mindig 2 verzióval le vannak maradva a firefoxhoz képest, szóval nálam sosem futott, mert mindig le volt tiltva...
A kettes számú versenyző egy biztonságos böngészőt igér, ami nem más, mint egy új, tiszta firefox profil. A probléma ezzel, hogy legalább kétféleképp is be tudom telepiteni a kiegészitőmet ebbe a biztonságos böngészőbe, ami onnantól kezdve már nem annyira biztonságos ...Felvettem a kapcsolatot a gyártóval, még nem javitották
A kettes számú versenyző egy biztonságos böngészőt igér, ami nem más, mint egy új, tiszta firefox profil. A probléma ezzel, hogy legalább kétféleképp is be tudom telepiteni a kiegészitőmet ebbe a biztonságos böngészőbe, ami onnantól kezdve már nem annyira biztonságos ...Felvettem a kapcsolatot a gyártóval, még nem javitották
A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
A hármas számú versenyző az egyik személyes kedvencem. Az interneten egy fórumon egy felhasználó megkérdezte a gyártótól, hogy a termékük véd-e a xenotix keylogx ellen. Ez egy firefox keylogger kiegészitő, indiai srác irta. A gyártó válasza olyan szép, hogy mint egy szépirodalmi művet, sorról sorra érdemes elemezni. Hogy mire gondolt a költő, amikor azt irta, it’s by design, ebben nem vagyok biztos. De hogy firefoxban semmilyen sandboxing nincs, az biztos. Amikor pedig azt javasolja, hogy a felhasználó távolitsa el a kiegészitőt, akkor pedig azzal a feltételezéssel éltek, hogy pl. Nem lehet elrejteni a kiegészitőt a felhasználó elől.
Majd megnéztem még néhány „biztonságos böngésző megoldást”, de már majdnem feladtam
Szóval az lenne a javaslatom a „biztonságos böngészőt” igérő internet biztonsági csomagot gyártó cégeknek, hogy:Ne bizzanak a helyi tanusitványkiszolgálóbanVédjék a proxy beállitásokat, böngésző fájlokat, böngésző beállitásokatNe használjanak régi, elavult böngészőket. Az egyik pl. Olyan régi firefoxot használt, vagy 5 verzióval volt lemaradva.Ne használj böngésző kiegészitőt arra, hogy másik kiegészitő ellen védekezz, de igazából az a legjobb, ha az összeset letiltod. Szerintem ez a minimum, aminek its by design kellene muködnie
És most áttérünk az „Endpoint Financial Fraud Prevention and Anti-Keyloggingalkalmazások” erdejébe
Ha esetleg nem tudnátok mi ez, tipikusan a külföldi bankok szokták javasolni hogy töltsd le és biztonságban leszel. API hooking elleni védelmet igérnek,
A kettes számú versenyző sok mindent igér, lássuk mit tart be ezek közül.
Internet explorerben tényleg letiltotta a kiegészitőket,De firefoxban már nem.Felvettem velük a kapcsolatot, küldtek egy új verziót, amiben már minden kiegészitő le volt tilva. De kiderült, hogy ez nem publikus verzió, csak nekem küldték.Az a titkos tervük, hogy majd ők detektálják a rosszindulatú kiegészitőket, és azt blokkolják.
Internet explorerben tényleg letiltotta a kiegészitőket,De firefoxban már nem.Felvettem velük a kapcsolatot, küldtek egy új verziót, amiben már minden kiegészitő le volt tilva. De kiderült, hogy ez nem publikus verzió, csak nekem küldték.Az a titkos tervük, hogy majd ők detektálják a rosszindulatú kiegészitőket, és azt blokkolják.
Hármas számú versenyző.Az egy dolog, hogy fél évvel le van maradva a firefox tekintetében, tehát use after free sérülékenységek tömkelege van benne, a kiegészitőt megint be tudtam telepiteni,
A következő terméket is öröm volt tesztelni. Kiirta, hogy rosszindulatú kódot talált, aztán kiderült, hogy csak a Symantec-et találta meg.
Megigér mindent, de böngésdző kiegészítő ellen nem véd
Megigér mindent, de böngésdző kiegészítő ellen nem véd
Az utolsó demó végül, a lastpass online jelszótárolóról szól. Azért került bele a hackelésbe, mert tavaly nem sikerült megtörnöm úgy, mint a Google kétfaktoros authentikációt.
Azt igérik, hogy megvédenek a malware ellen, de én ezt nem hittem el.
Ha nem ismeritek a yubikeyt, igy néz ki, szerintem nagyon jópofa, usb-be bedug, megnyom egy gombot, az eszköz billentyűleütéseket szimulálva beirja a jelszót a böngészőbe.
Hogy miért is nem tudtam tavaly feltörni?Az a baj, hogy a süti lopás, jelszó lopás önmagában nem elég, mert lokálisan a DOM-ban tárol mindenféle kriptó cuccot. Ráadásul böngésző kiegészitő formájában is működik. Igy nem volt más választásom, egy hátsó ajtót kellett épitenem a lastpass böngésző kiegészitőbe.
Hogy miért is nem tudtam tavaly feltörni?Az a baj, hogy a süti lopás, jelszó lopás önmagában nem elég, mert lokálisan a DOM-ban tárol mindenféle kriptó cuccot. Ráadásul böngésző kiegészitő formájában is működik. Igy nem volt más választásom, egy hátsó ajtót kellett épitenem a lastpass böngésző kiegészitőbe.
Szóval a tanulság az, hogy az axiómák igazak, én pedig rossz erdőben kerestem az elixirt, mert a csak kliens oldali védelmek bukásra vannak itélve.